数据恢复有什么先决条件

        数据恢复，作为一个数据再现的过程，一定要解决两个问题，第一是从哪里恢复，第二是怎么恢复。解决了这两个问题，我们事实上就把握了数据恢复的。这一部分就是探讨从哪里恢复的问题。
　　1. 有效而及时的备份是数据恢复最可靠的来源：在许多人倡导备份到秒的今天，恐怕不会有人怀疑这点。而有些备份机制则是系统内建的，比如两份FAT表。
　　2. 数据的实际有效性的判定是关键：对我们来说，硬盘无法自举、文件找不到、文件打不开等现象，其实并不能与数据丢丢失划等号。因为此时d ovt rnd 往往只是逻辑丢失，在物理意义上，它仍然存在或部分存在。最明显的就是文件删除的例子，事实上，这只是把文件首字节改为0E5而已,文件体依然存在。
　　3. 数据损坏过程的可逆性分析:对数据的改变无非两种:取代和变换，前者是不可逆的，后者则是可逆的。我们以杀毒为例，对于大多文件性病毒来说，那些以附加而非代换方式感染的文件型病毒，理想的杀毒过程就是感染的逆过程。这种分析也适用于重要信息被隐藏搬移或者被加密的情况，但分析将比较复杂。
　　4. 数据本身是否是标准信息：有些信息实际是通用或局部通用的，你无须考虑如何从本机抢救。只要有相同或相近的系统版本就可以了，比如BOOT区、隐含扇区、Windows的DLL文件等等。典型的例子如分区表的代码区，这是一段标准代码，事实上，它就放在你的FDISK程序里面，你可以用DEBUG把他提取出来。
　　5. 数据本身是否可以由其它信息统计再生：有些信息尽管丢失了，也没有备份。但它实际可以从其他数据中间接求得。最典型的就是主分区表中的分区信息，即使你把它清零也不必害怕，因为你可以从你几个分区中计算再生。
　　6. 破坏的完成程度：事实上，FDISK、FORMAT都不会彻底破坏数据，一般只有低格和扇区覆盖操作才会彻底破坏数据。但有时，破坏过程或者误操作过程会因人工终止、死机等原因不能完成。最明显的就是CIH病毒的例子，由于CIH是以1024字节为单位覆盖扇区，这当然是不可逆过程，于是我们最初都认为，破坏是很难恢复的，除非人工终止。事实上，当病毒覆盖某些扇区时会与WIN9X系统发生冲突，从而造成死机，使数据得到了保护。